Cada 28 de gener celebrem el Dia de la Protecció de Dades, una data instaurada pel Consell d’Europa per recordar-nos la importància de garantir el dret fonamental a la privadesa. Per a les empreses i professionals, aquesta jornada no és només una efemèride al calendari, sinó una oportunitat crítica per avaluar la robustesa dels nostres sistemes i la cultura de seguretat de l’organització.
En un entorn digital cada cop més complex, el risc no és si patirem un incident, sinó quan passarà. Les notícies recents ens ho recorden constantment: fins i tot els gegants corporatius són vulnerables.
Recentment, hem estat testimonis d’un dels incidents més mediàtics del sector energètic. El hackeig a Endesa ha posat de manifest com una vulnerabilitat pot exposar dades sensibles de milers d’usuaris (noms, DNI, domicilis i dades de facturació). Aquest cas és un mirall on moltes pimes s’haurien de mirar: si una gran corporació amb pressupostos de ciberseguretat milionaris pot patir una bretxa, cap negoci està exempt de risc.
L’incident d’Endesa ens ensenya que la protecció de dades no acaba en el compliment formal del RGPD; requereix una vigilància constant i, sobretot, un pla d’acció immediat quan la seguretat falla.
Davant l’amenaça de robatori d’informació, la prevenció i la reacció ràpida són els teus millors aliats. Podem identificar tres pilars fonamentals per protegir la teva organització i els teus clients. El primer de tots, cal recolzar-se en les auditories i disposar de protocols actius, no n’hi ha prou amb tenir els documents en un calaix. Cal realitzar auditories tècniques i formació contínua als empleats (el “factor humà” sol ser la porta d’entrada més comuna per al phishing). Més, la previsió del xifratge i la pseudonimització. Si les dades estan correctament xifrades, fins i tot en cas de robatori, la informació serà il·legible i inútil per als ciberdelinqüents. I en aquesta mateixa línia, afavorir una cultura de la contrasenya i Doble Factor (2FA), és la barrera més senzilla i eficaç contra els accessos no autoritzats.
Què fer si ja has estat víctima?
Si la situació ja és inevitable, cal tenir prevista també la reacció, és a dir, el pla de contingència. Aquí l’RGPD és estricte i davant d’una bretxa que suposi un risc, l’empresa té un màxim de 72 hores per notificar-ho a l’Autoritat de control (AEPD). Tenir un protocol clar estalvia sancions i danys reputacionals.
Finalment, si et trobes en una situació com la dels afectats pel cas Endesa, la transparència és clau. Has de comunicar-te de forma clara amb els afectats, recomanar el canvi de claus d’accés i monitorar qualsevol moviment sospitós en els comptes bancaris.
Aprofitem aquest 28 de gener per recordar-nos que la protecció de dades no és una càrrega burocràtica, sinó una inversió en la confiança dels teus clients. Una empresa que cuida les dades és una empresa que perdura.
Jordi Ventura
